Comments
Description
Transcript
証明書の管理 - Cisco
CH A P T E R 13 証明書の管理 Cisco Identity Services Engine(ISE)では、公開キー インフラストラクチャ(PKI)を使用して、次 のことに対する安全な通信を提供します。 • Transport Layer Security(TLS)関連 Extensible Authentication Protocol(EAP)プロトコルのク ライアントおよびサーバ認証 • クライアント ブラウザと管理サーバ間の HTTPS 通信 ISE には、PKI クレデンシャルを管理するための Web インターフェイスが備えられています。クレデ ンシャルには次の 2 種類があります。 • ローカル証明書:EAP サプリカント、外部ポリシー サーバ、管理クライアントなどの他のエン ティティに対する ISE サーバの識別に使用されます。ローカル証明書は、ID 証明書とも呼ばれま す。信頼性を証明するために、ローカル証明書とともに秘密キーが ISE に格納されます。 Cisco ISE はローカル証明書の有効期限を識別し、監査ログに警告を記録します。有効期限は、 ローカル証明書のリスト ページ([ 管理(Administration)] > [ システム(System)] > [ 証明書 (Certificates)] > [ ローカル証明書(Local Certificates)])にも表示されます。監査ログ メッセー ジは catalina.out ファイルに記録されます。このファイルは、サポート バンドルの一部としてダウ ンロードできます([ 操作(Operations)] > [ トラブルシューティング(Troubleshoot)] > [ ログ のダウンロード(Download Logs)])。catalina.out ファイルは support\apache_logs ディレクトリ にあります。ローカル証明書の有効期限の警告に関する情報を提供する監査ログ メッセージには、 次の 2 種類があります。 – 証明書の有効期限まで 90 日未満:AuditMessage: 34100: Certificate.ExpirationInDays, Certificate.IssuedBy, Certificate.CertificateName, Certificate.IssuedTo – 証明書の有効期限が切れている:AuditMessage: 34101: Certificate.ExpirationDate, Certificate.IssuedBy, Certificate.CertificateName, Certificate.IssuedTo • 認証局証明書:ISE に提示されるリモート証明書の検証に使用されます。認証局証明書には、証明 書信頼リスト(CTL)階層を形成する依存関係があります。この階層は最上位のルート認証局 (CA)を使用して証明書に接続し、証明書の信頼性を検証します。 分散展開では、セカンダリ ノードをプライマリ ノードに登録するときに、セカンダリ ノードが有効な 証明書を提示する必要があります。通常、セカンダリ ノードはローカル HTTPS 証明書を提示します。 セカンダリ ノードとの直接接続を必要とする展開操作の認証を提供するには、セカンダリ ノードの HTTPS 証明書を検証するために使用できる適切な信頼証明書をプライマリ ノードの CTL に入力する 必要があります。展開でセカンダリ ノードを登録する前に、プライマリ ノードの CTL に入力する必要 があります。プライマリ ノードの CTL に入力しない場合は、ノードの登録が失敗します。また、ノー ドの登録は、何らかの理由で証明書の検証が失敗した場合にも失敗します。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-1 第 13 章 証明書の管理 ローカル サーバ証明書 (注) バックアップをスタンドアロン ISE ノードまたはプライマリ管理 ISE ノードから取得した後で、展開 内の 1 つ以上のノードで証明書設定を変更した場合、データを復元するには別のバックアップを取得す る必要があります。このようにする代わりに、古いバックアップを使用してデータを復元しようとした 場合は、ノード間の通信ができなくなることがあります。 この章は、次の内容で構成されています。 • 「ローカル サーバ証明書」(P.13-2) • 「証明書署名要求」(P.13-15) • 「認証局証明書」(P.13-17) • 「Simple Certificate Enrollment Protocol プロファイル」(P.13-26) • 「OCSP サービス」(P.13-28) ローカル サーバ証明書 インストール後、デフォルトで、ISE によって自己署名ローカル証明書と秘密キーが生成され、サーバ に格納されます。証明書ベースの認証では、ISE はインストール時に作成されたデフォルトの自己署名 証明書を使用してクライアントに対して自身を認証します。この自己署名証明書は、HTTPS プロトコ ルと EAP プロトコルの両方について、クライアントを認証するために使用されます。この自己署名証 明書は 1 年間有効であり、キーの長さは 1024 ビットに設定されています。生成時に、EAP プロトコル と HTTPS プロトコルの両方について、この証明書が使用されます。この定義は、他のローカル証明書 をインポートまたは生成した後に変更できます。自己署名証明書では、ISE というホスト名が一般名 (CN)として使用されます。これは、HTTPS 通信に必要であるためです。 (注) ノードで HTTPS ローカル証明書を変更した場合、そのノードに接続されている既存のブラウザ セッ ションは、新しい証明書に自動的には切り替えられません。新しい証明書を表示するには、ブラウザを 再起動する必要があります。この注記は、Firefox と Internet Explorer 8 の両方のブラウザに適用され ます。 現在、Cisco ISE では初期インストール後に自己署名証明書が自動的に作成されます。CA 署名付き証 明書をインストールし、HTTPS と EAP のいずれかまたは両方で使用するように設定することを強く 推奨します。CA 証明書と秘密キーをインポートするか、CA に CA 署名付き証明書を要求できます。 CA 署名付き証明書を要求するには、Cisco ISE ユーザ インターフェイスから証明書署名要求(CSR) を生成し、エクスポートして CA に送信する必要があります。証明書は CA によって署名され、返され ます。CA から返された証明書は、CSR とともに ISE に格納されている秘密キーとバインドする必要 があります。この証明書は、秘密キーとバインドした後、HTTPS と EAP の一方または両方に対して 設定できます。 ISE には、次の操作を実行できる Web インターフェイスが備えられています。 • ローカル証明書とその秘密キーを、クライアント ブラウザを実行しているシステム上にあるファ イルからインポートします。秘密キーは、暗号化することも非暗号化することもできます。秘密 キーを暗号化した場合は、復号化するためのパスワードを指定する必要があります。ISE にイン ポートした後、秘密キーを Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)相互認証、またはブラウザ クライアントと管理サーバ間の HTTPS 通信、あるいはそ の両方の証明書として指定できます。ISE では、基本の X509 証明書形式の証明書をチェックし、 秘密キーが証明書の公開キーと一致するかどうかをチェックして複製の証明書を防ぎます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-2 OL-26134-01-J 第 13 章 証明書の管理 ローカル サーバ証明書 (注) また、別の ISE サーバから証明書と秘密キーをエクスポートしたときに、インポート オプショ ンを選択することもできます。別の ISE サーバから秘密キーをエクスポートするときに、秘密 キーを暗号化するためのパスワードを指定する必要があります。証明書は、Privacy Enhanced Mail(PEM)形式および Distinguished Encoding Rules(DER)形式でのみインポートできま す。 • ISE に格納されているローカル証明書とその有効期限を表示します。 • ローカル証明書を編集します。フレンドリ名、説明、およびプロトコルの関連付け(HTTPS と EAP の一方または両方)を変更できます。自己署名証明書の更新を要求して、有効期限を延長で きます。 • ローカル証明書を削除します。 • 自己署名証明書を生成します。 • CSR を作成します。 • クライアント ブラウザを実行しているシステム上にあるファイルに CSR をエクスポートし、証明 書に署名する CA に CSR を転送します。 • CSR を削除します。 • CA 証明書をその秘密キーにバインドします。 • ローカル証明書を複製の証明書で置き換えます。 この項では、次のトピックを扱います。 • 「ローカル証明書の表示」(P.13-3) • 「ローカル証明書の追加」(P.13-4) • 「ローカル証明書の編集」(P.13-12) • 「ローカル証明書の削除」(P.13-13) • 「ローカル証明書のエクスポート」(P.13-14) ローカル証明書の表示 [ ローカル証明書(Local Certificate)] ページに、ISE に追加されたすべてのローカル証明書が一覧表 示されます。 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 ローカル証明書のリストを表示するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 [ ローカル証明書(Local Certificate)] ページが表示され、図 13-1 に示すように、ローカル証明書に 関する次の情報が表示されます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-3 第 13 章 証明書の管理 ローカル サーバ証明書 • [ フレンドリ名(Friendly Name)]:証明書の名前。 • [ プロトコル(Protocol)]:証明書を使用するプロトコル。 • [ 発行先(Issued To)]:証明書の発行先の証明書サブジェクトまたは CN。 通常、一般名は ISE ノードの完全修飾ドメイン名です。 • [ 発行元(Issued By)]:証明書を発行したサーバ。 • [ 有効開始日(Valid From)]:証明書が作成された日付。 • [ 有効期限(Expiration Date)]:証明書の有効期限。 • [ 有効期限切れステータス(Expiration Status)]:証明書有効期限切れのステータスに関する情報 を表します。このカラムに表示される情報メッセージのアイコンとカテゴリは、次の 5 つです。 1. アクティブ(緑色のアイコン) 2. 有効期限まで 90 日未満(青色のアイコン) 3. 有効期限まで 60 日未満(黄色のアイコン) 4. 有効期限まで 30 日未満(オレンジ色のアイコン) 5. 有効期限切れ(赤色のアイコン) 図 13-1 ローカル証明書のリスト ページ ローカル証明書の追加 (注) 秘密キーはローカル データベースに格納されず、関連ノードからコピーされないため、ISE 展開で分 散セットアップに複数のノードがある場合は、展開の各ノードにローカル証明書を個別に追加する必要 があります。 次のいずれかの方法でローカル証明書を ISE に追加できます。 • 「サーバ証明書のインポート」(P.13-4) • 「自己署名証明書の生成」(P.13-7) • 「証明書署名要求の生成」(P.13-9)および「CA 署名付き証明書のバインド」(P.13-10) サーバ証明書のインポート ローカル証明書をインポートする前に、クライアント ブラウザを実行しているシステム上にローカル 証明書および秘密キーのファイルがあることを確認します。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-4 OL-26134-01-J 第 13 章 証明書の管理 ローカル サーバ証明書 (注) ノードで HTTPS ローカル証明書を変更した場合、そのノードに接続されている既存のブラウザ セッ ションは、新しい証明書に自動的には切り替えられません。新しい証明書を表示するには、ブラウザを 再起動する必要があります。この注記は、Firefox と Internet Explorer 8 の両方のブラウザに適用され ます。 前提条件: • 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で 説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てら れている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限に ついては、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 • インポートするローカル証明書に基本制約拡張が含まれていて CA フラグが true に設定されている 場合は、キー使用拡張が存在することと、keyEncipherment ビットと keyAgreement ビットの一方 または両方が設定されていることを確認してください。 サーバ証明書をインポートするには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) ローカル証明書をセカンダリ ノードにインポートするには、[ 管理(Administration)] > [ シス テム(System )] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 [ 追加(Add)] > [ ローカル サーバ証明書のインポート(Import Local Server Certificate)] を選択しま す。 図 13-2 に示すように、[ ローカル サーバ証明書のインポート(Import Local Server Certificate)] ペー ジが表示されます。 図 13-2 [ ローカル サーバ証明書のインポート(Import Local Server Certificate)] ページ Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-5 第 13 章 証明書の管理 ローカル サーバ証明書 ステップ 4 [ 参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから証明書ファイ ルと秘密キーを選択します。 秘密キーが暗号化されている場合は、[ パスワード(Password)] に入力して復号化します。 ステップ 5 ステップ 6 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [ フレンドリ名(Friendly Name) ] フィールドに入力します。名前を指定しない場合は、<common name>#<issuer>#<nnnnn> という形 式の名前が自動的に作成されます。<nnnnn> は一意の 5 桁の番号です。 Cisco ISE によって証明書拡張の検証が行われるようにするには、[ 証明書拡張の検証の有効化 (Enable Validation of Certificate Extensions)] オプションを有効にします。 (注) ステップ 7 [ 証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションが有効 のときに、インポートする証明書に基本制約拡張が含まれていて認証局(CA)フラグが true に設定されている場合は、キー使用拡張が存在することと、「keyEncipherment」ビットと 「keyAgreement」ビットの一方または両方が設定されていることを確認してください。 [ プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。 • この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックス をオンにします。 • この証明書を Web サーバ(GUI)の認証に使用する場合は、[ 管理インターフェイス (Management Interface)] チェックボックスをオンにします。 (注) [ 管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証 明書サブジェクトの CN の値がノードの完全修飾ドメイン名(FQDN)であることを確認して ください。完全修飾ドメイン名でない場合、インポート プロセスは失敗します。 ステップ 8 [ オーバーライド ポリシー(Override Policy)] 領域の [ 証明書の置き換え(Replace Certificate)] チェックボックスは、既存の証明書を複製の証明書で置き換える場合にオンにします。証明書が複製で あると見なされるのは、既存の証明書とサブジェクトまたは発行者が同一であり、シリアル番号も同一 である場合です。このオプションを選択すると、証明書の内容が更新されますが、その証明書に対する 既存のプロトコル選択は維持されます。 (注) ステップ 9 Cisco ISE が FIPS モードで動作するように設定されている場合は、証明書のサイズが 2048 ビットであることと、SHA-1 または SHA-256 の暗号化を使用することが必要です。 [ 送信(Submit)] をクリックしてローカル証明書をインポートします。 ローカル証明書をプライマリ ISE ノードにインポートするときに、展開内のそのノードで管理イン ターフェイス オプションが有効になっている場合は、そのノード上のアプリケーション サーバが自動 的に再起動されます。これに該当しない場合は、プライマリ ISE ノードに接続されているセカンダリ ノードを再起動する必要があります。 セカンダリ ノードを再起動するには、コマンドライン インターフェイス(CLI)で次のコマンドを入 力します。 a. application stop ise b. application start ise これらのコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-6 OL-26134-01-J 第 13 章 証明書の管理 ローカル サーバ証明書 自己署名証明書の生成 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 自己署名証明書を生成するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) セカンダリ ノードから自己署名証明書を生成するには、[ 管理(Administration)] > [ システム (System )] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 [ 追加(Add)] > [ 自己署名証明書の生成(Generate Self Signed Certificate)] を選択します。 図 13-3 に示すように、[ 自己署名証明書の生成(Generate Self Signed Certificate)] ページが表示され ます。 図 13-3 ステップ 4 自己署名証明書の生成ページ 次の情報を入力します。 • [ 証明書サブジェクト(Certificate Subject)]:証明書に関連付けられているエンティティを識別 する識別名(DN)。 DN には一般名(CN)値が含まれている必要があります。 • 必要な [ キーの長さ(Key Length)]:有効な値は 512、1024、2048、4096 です。(Cisco ISE を FIPS 準拠のポリシー管理エンジンとして展開する場合は、2048 ビット以上のキーの長さを指定す る必要があります)。 • [ 署名するダイジェスト(Digest to Sign With)]:SHA-1 または SHA-256 を使用して証明書を暗 号化および復号化できます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-7 第 13 章 証明書の管理 ローカル サーバ証明書 • 証明書の [ 有効期限(Expiration)]。期間を日、週、月、または年単位で指定できます。 • 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [ フレンドリ名(Friendly Name)] フィールドに入力します。名前を指定しない場合は、<common name>#<issuer>#<nnnnn> という形式の名前が自動的に作成されます。<nnnnn> は一意の 5 桁 の番号です。 ステップ 5 [ プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。 • この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックス をオンにします。 • この証明書を Web サーバ(GUI)の認証に使用する場合は、[ 管理インターフェイス (Management Interface)] チェックボックスをオンにします。この機能を初めて有効にする場合 は、Cisco ISE を再起動する必要もあります。 (注) [ 管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証 明書サブジェクトの CN の値がノードの FQDN であることを確認してください。そうでない場 合、自己署名証明書は生成されません。 ステップ 6 [ オーバーライド ポリシー(Override Policy)] 領域の [ 証明書の置き換え(Replace Certificate)] チェックボックスは、既存の証明書を複製の証明書で置き換える場合にオンにします。証明書が複製で あると見なされるのは、既存の証明書とサブジェクトまたは発行者が同一であり、シリアル番号も同一 である場合です。このオプションを選択すると、証明書の内容が更新されますが、その証明書に対する 既存のプロトコル選択は維持されます。 ステップ 7 [ 送信(Submit)] をクリックしてローカル証明書をインポートします。 ローカル証明書をプライマリ ISE ノードにインポートするときに、展開内のそのノードで管理イン ターフェイス オプションが有効になっている場合は、そのノード上のアプリケーション サーバが自動 的に再起動されます。これに該当しない場合は、プライマリ ISE ノードに接続されているセカンダリ ノードを再起動する必要があります。 セカンダリ ノードを再起動するには、コマンドライン インターフェイス(CLI)で次のコマンドを入 力します。 a. application stop ise b. application start ise これらのコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.1』を参照してください。 (注) 自己署名証明書を使用しており、Cisco ISE ノードのホスト名を変更する必要がある場合、ISE では、 ホスト名の変更後も引き続き古いホスト名の自己署名証明書が使用されます。Cisco ISE ノードの管理 ユーザ インターフェイスにログインし、古いホスト名の既存の自己署名証明書を削除し、新しい自己 署名証明書を生成する必要があります。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-8 OL-26134-01-J 第 13 章 証明書の管理 ローカル サーバ証明書 証明書署名要求の生成 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 証明書署名要求(CSR)を生成するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) セカンダリ ノードから CSR を生成するには、[ 管理(Administration)] > [ システム (System )] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 [ 追加(Add)] > [ 証明書署名要求の生成(Generate Certificate Signing Request)] を選択します。 図 13-4 に示すように、[ 証明書署名要求の生成(Generate Certificate Signing Request)] ページが表 示されます。 図 13-4 ステップ 4 証明書署名要求の生成 証明書サブジェクトおよび必要なキーの長さを入力します。証明書サブジェクトは、証明書に関連付け られているエンティティを識別する識別名(DN)です。DN には一般名の値が含まれている必要があ ります。識別名の要素は次のとおりです。 • C=国 • S = テスト州または都道府県 • L = テスト地名(都市) • O = 組織名 • OU = 組織ユニット名 • CN = 一般名 • E = 電子メール アドレス CSR の証明書サブジェクトの例は、「CN=Host-ISE.cisco.com, OU=Cisco O=security, C=US, S=NC, L=RTP, [email protected].」のようになります。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-9 第 13 章 証明書の管理 ローカル サーバ証明書 (注) [ 証明書サブジェクト(Certificate Subject)] フィールドに入力するときは、文字列を引用符で カプセル化しないでください。 (注) ステップ 5 SHA-1 または SHA-256 を使用して証明書を暗号化および復号化することを選択します。 (注) ステップ 6 この CSR から生成された証明書を HTTPS 通信(管理インターフェイス)に使用する場合は、 証明書サブジェクトの CN の値がノードの FQDN であることを確認してください。そうでない 場合は、生成された証明書をバインドするときに管理インターフェイスを選択できません。 Cisco ISE が FIPS モードで動作するように設定されている場合は、証明書のサイズが 2048 ビットであることと、SHA-1 または SHA-256 の暗号化を使用することが必要です。 [ 送信(Submit)] をクリックして CSR を生成します。 CSR とその秘密キーが生成され、ISE に保存されます。この CSR は、[ 証明書署名要求(Certificate Signing Requests)] ページで表示できます。CSR をエクスポートし、CA に送信して署名を取得でき ます。 CA 署名付き証明書のバインド CSR が CA によって署名され、返された後、このプロセスを使用して CA 署名付き証明書を秘密キー にバインドします。バインド機能を使用して、展開内の別の Cisco ISE ボックスからエクスポートした CA 署名付き証明書とそのそれぞれの秘密キーをインポートすることもできます。 前提条件: • 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で 説明されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てら れている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限に ついては、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 • バインドする証明書に基本制約拡張が含まれていて CA フラグが true に設定されている場合は、 キー使用拡張が存在することと、keyEncipherment ビットと keyAgreement ビットの一方または両 方が設定されていることを確認してください。 CA 署名付き証明書をバインドするには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) CA 署名付き証明書をセカンダリ ノードにバインドするには、[ 管理(Administration)] > [ シ ステム(System)] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 [ 追加(Add)] > [CA 証明書のバインド(Bind CA Certificate)] を選択します。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-10 OL-26134-01-J 第 13 章 証明書の管理 ローカル サーバ証明書 図 13-5 に示すように、[CA 署名付き証明書のバインド(Bind CA Signed Certificate)] ページが表示 されます。 図 13-5 CA 署名付き証明書のバインド ステップ 4 [ 参照(Browse)] をクリックし、CA 署名付き証明書を選択します。 ステップ 5 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [ フレンドリ名(Friendly Name) ] フィールドに入力します。名前を指定しない場合は、<common name>#<issuer>#<nnnnn> という形 式の名前が自動的に作成されます。<nnnnn> は一意の 5 桁の番号です。 ステップ 6 Cisco ISE によって証明書拡張の検証が行われるようにするには、[ 証明書拡張の検証の有効化 (Enable Validation of Certificate Extensions)] オプションを有効にします。 (注) ステップ 7 [ 証明書拡張の検証の有効化(Enable Validation of Certificate Extensions)] オプションが有効 のときに、インポートする証明書に基本制約拡張が含まれていて認証局(CA)フラグが true に設定されている場合は、キー使用拡張が存在することと、「keyEncipherment」ビットと 「keyAgreement」ビットの一方または両方が設定されていることを確認してください。 [ プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。 • この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックス をオンにします。 • この証明書を Web サーバ(GUI)の認証に使用する場合は、[ 管理インターフェイス (Management Interface)] チェックボックスをオンにします。 (注) [ 管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証 明書サブジェクトの CN の値がノードの FQDN であることを確認してください。完全修飾ドメ イン名でない場合、バインド操作は失敗します。 ステップ 8 [ オーバーライド ポリシー(Override Policy)] 領域の [ 証明書の置き換え(Replace Certificate)] チェックボックスは、既存の証明書を複製の証明書で置き換える場合にオンにします。証明書が複製で あると見なされるのは、既存の証明書とサブジェクトまたは発行者が同一であり、シリアル番号も同一 である場合です。このオプションを選択すると、証明書の内容が更新されますが、その証明書に対する 既存のプロトコル選択は維持されます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-11 第 13 章 証明書の管理 ローカル サーバ証明書 ステップ 9 [ 送信(Submit)] をクリックし、CA 署名付き証明書をバインドします。 ローカル証明書の編集 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 ローカル証明書を編集するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) ローカル証明書をセカンダリ ノードで編集するには、[ 管理(Administration)] > [ システム (System )] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 編集する証明書の隣のチェックボックスをオンにして、[ 編集(Edit)] をクリックします。 ページが更新され、図 13-6 に示すように、ローカル証明書に関する情報が一覧表示されます。 図 13-6 ローカル証明書の編集ページ 次の情報を編集できます。 • フレンドリ名(Friendly Name) • 説明(Description) Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-12 OL-26134-01-J 第 13 章 証明書の管理 ローカル サーバ証明書 • プロトコル(Protocols) • 有効期限 TTL(Expiration TTL)(証明書が自己署名の場合) ステップ 4 同じ証明書サブジェクトの証明書が多数ある場合にこの証明書を識別しやすいように、フレンドリ名を 入力します。 ステップ 5 任意で説明を入力します。 ステップ 6 [ プロトコル(Protocol)] グループ ボックスで次のとおりに操作します。 • この証明書を EAP プロトコルでの ISE ノードの識別に使用する場合は、[EAP] チェックボックス をオンにします。 • この証明書を Web サーバ(GUI)の認証に使用する場合は、[ 管理インターフェイス (Management Interface)] チェックボックスをオンにします。 (注) [ 管理インターフェイス(Management Interface)] チェックボックスをオンにする場合は、証 明書サブジェクトの CN の値がノードの FQDN であることを確認してください。そうでない場 合、編集操作は失敗します。 たとえば、現在 local_certificate_1 が EAP に対して指定されており、local_certificate_2 の編集時に [EAP] チェックボックスをオンにした場合、local_certificate_2 への変更を保存した後は、 local_certificate_1 の EAP への関連付けは解除されています。 ステップ 7 自己署名証明書を更新するには、[ 自己署名証明書の更新(Renew Self Signed Certificate)] チェック ボックスをオンにして、有効期限存続可能時間(TTL)を日、週、月、または年単位で入力します。 ステップ 8 [ 保存(Save)] をクリックして変更を保存します。 展開内のそのノードで管理インターフェイス オプションが有効になっている場合は、そのノード上の アプリケーション サーバが自動的に再起動されます。これに該当しない場合は、プライマリ ISE ノー ドに接続されているセカンダリ ノードを再起動する必要があります。 セカンダリ ノードを再起動するには、コマンドライン インターフェイス(CLI)で次のコマンドを入 力します。 a. application stop ise b. application start ise これらのコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。 ローカル証明書の削除 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-13 第 13 章 証明書の管理 ローカル サーバ証明書 ローカル証明書を削除するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) ローカル証明書をセカンダリ ノードから削除するには、[ 管理(Administration)] > [ システム (System )] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 削除する証明書の隣にあるチェックボックスをオンにし、[ 削除(Delete)] をクリックします。 ステップ 4 ポップアップ ダイアログボックスに次の情報が表示されます。 選択されている項目を削除しますか ?(Are you sure you want to delete the selected item(s)?) ステップ 5 [OK] をクリックして、ローカル証明書を削除します。 ローカル証明書のエクスポート 選択したローカル証明書、または証明書と秘密キーをエクスポートできます。 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 ローカル証明書をエクスポートするには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ ローカル証明書(Local Certificates)] をクリックします。 (注) ローカル証明書をセカンダリ ノードからエクスポートするには、[ 管理(Administration)] > [ システム(System)] > [ サーバ証明書(Server Certificate)] を選択します。 [ ローカル証明書(Local Certificate)] ページが表示されます。 ステップ 3 エクスポートする証明書の隣にあるチェックボックスをオンにし、[ エクスポート(Export)] をク リックします。 図 13-7 に示すように、[ エクスポートする証明書コンポーネントの選択(Select Certificate Components to Export)] ダイアログボックスが表示されます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-14 OL-26134-01-J 第 13 章 証明書の管理 証明書署名要求 図 13-7 ローカル証明書のエクスポート 証明書のみをエクスポートするか、または証明書と秘密キーをエクスポートするかを選択できます。 値が公開される可能性があるため、証明書に関連付けられている秘密キーのエクスポートは推奨しませ ん。秘密キーをエクスポートする必要がある場合は、秘密キーの暗号化パスワードを指定してくださ い。このパスワードは、証明書を別の ISE サーバにインポートするときに指定して、秘密キーを復号 化する必要があります。 (注) エクスポートする証明書が、以前に暗号化された秘密キーとともに ISE にインポートされた証 明書である場合は、2 回目にエクスポートするときに同じパスワードを再度使用する必要はあ りません。 ステップ 4 エクスポートする証明書コンポーネントを選択します。 ステップ 5 秘密キーをエクスポートする場合は、パスワードを入力します。パスワードは、8 文字以上にする必要 があります。 ステップ 6 [OK] をクリックして、クライアント ブラウザを実行しているファイル システムに証明書を保存しま す。 証明書のみをエクスポートする場合、証明書は Privacy Enhanced Mail 形式で保存されます。証明書と 秘密キーの両方をエクスポートする場合、証明書は Privacy Enhanced Mail 形式の証明書と暗号化され た秘密キー ファイルを含む .zip ファイルとしてエクスポートされます。 証明書署名要求 作成した CSR のリストは、[ 証明書署名要求(Certificate Signing Requests)] ページで使用できます。 CA から署名を取得するには、クライアント ブラウザを実行しているローカル ファイル システムに CSR をエクスポートする必要があります。その後 CA に証明書を送信します。証明書は CA によって 署名され、返されます。[ 証明書署名要求(Certificate Signing Requests)] ページでは、ローカル ファ イル システムに CSR をエクスポートできます。 (注) ISE 展開で分散セットアップに複数のノードがある場合は、展開内の各ノードから CSR を個別にエク スポートする必要があります。 この項では、次のトピックを扱います。 • 「証明書署名要求の表示およびエクスポート」(P.13-16) Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-15 第 13 章 証明書の管理 証明書署名要求 • 「証明書署名要求の削除」(P.13-16) 証明書署名要求の表示およびエクスポート 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 CSR を表示するには、次の手順を完了します。 ステップ 1 ステップ 2 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 証明書署名要求 (Certificate Signing Requests)] をクリックします。 (注) セカンダリ ノードから CSRs を表示またはエクスポートするには、[ 管理(Administration)] > [ システム(System)] > [ 証明書署名要求(Certificate Signing Requests)] を選択します。 図 13-8 に示すように、CSR のリストを含む [ 証明書署名要求(Certificate Signing Requests)] ページ が表示されます。 図 13-8 証明書署名要求 ステップ 3 エクスポートする証明書の隣にあるチェックボックスをオンにし、[ エクスポート(Export)] をク リックします。 ステップ 4 [OK] をクリックして、クライアント ブラウザを実行しているファイル システムにファイルを保存しま す。 証明書署名要求の削除 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-16 OL-26134-01-J 第 13 章 証明書の管理 認証局証明書 CSR を削除するには、次の手順を実行します。 ステップ 1 ステップ 2 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 証明書署名要求 (Certificate Signing Requests)] をクリックします。 (注) セカンダリ ノードから CSR を削除するには、[ 管理(Administration)] > [ システム (System )] > [ 証明書署名要求(Certificate Signing Requests)] を選択します。 CSR のリストを含む [ 証明書署名要求(Certificate Signing Requests)] ページが表示されます。 ステップ 3 削除する証明書の隣にあるチェックボックスをオンにし、[ 削除(Delete)] をクリックします。 次のメッセージが表示されます。 選択されている項目を削除しますか ?(Are you sure you want to delete the selected item(s)?) ステップ 4 [OK] をクリックして CSR を削除します。 認証局証明書 認証局(CA)証明書は、Cisco ISE に提示されるクライアントおよびサーバ証明書のアイデンティ ティを検証するために使用される信頼できる証明書です。CA によって発行されるデジタル証明書に は、公開キーとユーザのアイデンティティが含まれています。CA からの認証局証明書を要求し、ISE にインポートする必要があります。複数の認証局証明書をインポートする場合は、認証局証明書によっ て証明書信頼リスト(CTL)が形成されます。クライアントによって認証要求が送信されると、ISE は CTL に対してクライアント証明書を検証します。クライアントの証明書が CTL に存在する CA によっ て発行されている場合、ISE はクライアントを認証します。 ISE には、次の操作を実行できる Web インターフェイスが備えられています。 • クライアント ブラウザを実行しているシステム上にあるファイルから認証局証明書をインポート します。証明書ファイルには、Privacy Enhanced Mail または DER 形式の X509 証明書が含まれて いる必要があります。インポート後、TLS 関連 EAP プロトコルで直接信頼される証明書であるこ とを示す拡張認証プロトコル証明書信頼リスト(EAP-CTL)として証明書を定義できます。 • 認証局証明書を検証します。 • ISE ノード上の認証局証明書のリストを表示します。 • 認証局証明書を削除します。 • 認証局証明書を編集します。フレンドリ名と説明、EAP プロトコルに対する信頼指定、および証 明書失効リスト(CRL)コンフィギュレーションを編集できます。 • クライアント ブラウザを実行するシステム上にあるファイルに認証局証明書をエクスポートしま す。 (注) ステータスが変更された(たとえば、スタンドアロンに戻されたノード ステータス)ノードを登録解 除する場合は、証明書信頼ストアを調べて、認証局証明書表にリストされている証明書が現在も適用さ れるかどうか、または現在も有効な証明書であるかどうかを確認する必要があります。分散展開に含ま Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-17 第 13 章 証明書の管理 認証局証明書 れなくなったために不要になった証明書は削除できます。ただし、ノードを登録解除した場合、対応す る証明書ストアは ISE によって自動的に変更または更新されません。不要になった証明書はすべて手 動で削除する必要があります。 この項では、次のトピックを扱います。 • 「認証局証明書の表示」(P.13-18) • 「認証局証明書の追加」(P.13-19) • 「認証局証明書の編集」(P.13-20) • 「認証局証明書の削除」(P.13-23) • 「認証局証明書のエクスポート」(P.13-23) • 「証明書チェーンのインポート」(P.13-24) • 「プライマリ ISE ノードでの証明書信頼リストの作成」(P.13-24) 認証局証明書の表示 [ 認証局証明書(Certificate Authority Certificates)] ページに、ISE に追加されたすべての証明書が一 覧表示されます。 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 認証局証明書を表示するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 認証局証明書(Certificate Authority Certificates)] をクリックします。 図 13-9 に示すように、[ 認証局証明書(Certificate Authority Certificates)] ページが表示されます。 図 13-9 認証局証明書 このページには、認証局証明書に関する次の情報が表示されます。 • [ フレンドリ名(Friendly Name)]:認証局証明書の名前。 • [ 発行先(Issued To)]:証明書の発行先の証明書サブジェクトまたは会社名。 • [ 発行元(Issued By)]:証明書を発行した CA。 • [ 有効開始日(Valid From)]:証明書が発行された日付。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-18 OL-26134-01-J 第 13 章 証明書の管理 認証局証明書 • [ 有効期限(Expiration)]:認証局証明書の有効期限。 • [ 有効期限切れステータス(Expiration Status)]:証明書有効期限切れのステータスに関する情報 を表します。このカラムに表示される情報メッセージのアイコンとカテゴリは、次の 5 つです。 1. アクティブ(緑色のアイコン) 2. 有効期限まで 90 日未満(青色のアイコン) 3. 有効期限まで 60 日未満(黄色のアイコン) 4. 有効期限まで 30 日未満(オレンジ色のアイコン) 5. 有効期限切れ(赤色のアイコン) 認証局証明書の追加 (注) 認証局証明書を追加する前に、認証局証明書が、クライアント ブラウザを実行しているファイル シス テム上にあることを確認します。 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 認証局証明書を追加するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 認証局証明書(Certificate Authority Certificates)] をクリックします。 [ 認証局証明書(Certificate Authority Certificates)] ページが表示されます。 ステップ 3 [ 追加(Add)] をクリックします。 図 13-10 に示すように、[ 新しい信頼できる CA(認証局)証明書のインポート(Import a new Trusted CA (Certificate Authority) Certificate)] ページが表示されます。 図 13-10 信頼できる CA のインポート ページ Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-19 第 13 章 証明書の管理 認証局証明書 ステップ 4 [ 参照(Browse)] をクリックして、クライアント ブラウザを実行しているファイル システムから認証 局証明書を選択します。 ステップ 5 証明書のフレンドリ名を指定する場合は、秘密キー パスワードの下の [ フレンドリ名(Friendly Name) ] フィールドに入力します。名前を指定しない場合は、<common name>#<issuer>#<nnnnn> という形 式の名前が自動的に作成されます。<nnnnn> は一意の 5 桁の番号です。 ステップ 6 この証明書を信頼リストで使用する場合は、[ クライアント認証用に信頼する(Trust for client authentication)] チェックボックスをオンにします。 (注) [ クライアント認証用に信頼する(Trust for client authentication)] オプションと [ 証明書拡張 の検証の有効化(Enable Validation of Certificate Extensions )] オプションの両方をオンにす る場合は、「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、基本 制約拡張が存在し、CA フラグが true に設定されていることを確認してください。 ステップ 7 任意で説明を追加します。 ステップ 8 認証局証明書を保存するには、[ 送信(Submit)] をクリックします。 クライアント証明書ベースの認証が有効のときは、Cisco ISE によって、展開内の各ノード上のアプリ ケーション サーバが再起動されます。このときに、プライマリ管理ノード上のアプリケーション サー バが最初に起動され、その後で他のノードのアプリケーション サーバが 1 つずつ順に起動されます。 これらのコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。 認証局証明書の編集 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 認証局証明書を編集するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 認証局証明書(Certificate Authority Certificates)] をクリックします。 [ 認証局証明書(Certificate Authority Certificates)] ページが表示されます。 ステップ 3 編集する証明書の隣のチェックボックスをオンにして、[ 編集(Edit)] をクリックします。 ページが更新され、図 13-11 に示すように、認証局証明書に関する情報が一覧表示されます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-20 OL-26134-01-J 第 13 章 証明書の管理 認証局証明書 図 13-11 認証局証明書の編集ページ 次の情報を編集できます。 • フレンドリ名(Friendly Name) • 説明(Description) • 使用方法(Usage) • 証明書失効リストの設定(Certificate Revocation List Configuration) ステップ 4 この証明書を容易に識別するために一意の名前を入力します。 ステップ 5 任意で説明を入力します。 ステップ 6 この証明書を信頼リストで使用する場合は、[ クライアント認証用に信頼する(Trust for client authentication)] チェックボックスをオンにします。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-21 第 13 章 証明書の管理 認証局証明書 (注) ステップ 7 [ クライアント認証用に信頼する(Trust for client authentication)] オプションと [ 証明書拡張 の検証の有効化(Enable Validation of Certificate Extensions )] オプションの両方をオンにす る場合は、「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、基本 制約拡張が存在し、CA フラグが true に設定されていることを確認してください。 証明書の検証において常に OCSP サービスが最初に試行されるように、[ 証明書ステータス検証 (Certificate Status Validation)] グループ ボックスで、次のチェックボックスをオンにします。 a. OCSP サービスに対して検証する(Validate Against OCSP Service) b. OCSP によって証明書ステータスを判別できなかった場合は要求を拒否する(Reject the request if certificate status could not be determined by OCSP) OCSP サービスの詳細については、「OCSP サービス」(P.13-28)を参照してください。 ステップ 8 [ 証明書失効リストの設定(Certificate Revocation List Configuration)] グループ ボックスで、次の手 順を実行します。 a. ISE の [CRL のダウンロード(Download CRL)] チェックボックスをオンにして、CRL をダウン ロードします。 b. [URL 配布(URL Distribution)] テキスト ボックスに、CA から CRL をダウンロードするための URL を入力します。認証局証明書で指定されている場合、このフィールドは自動的に読み込まれ ます。URL は、「http」または「https」で始まる必要があります。 CRL は、自動的または定期的にダウンロードできます。 c. 前の CRL 更新が期限切れになる前に CRL を自動的にダウンロードする場合は、ダウンロードの時 間間隔を分、時間、日、または週単位で設定できます。 d. ISE が CRL のダウンロードを再試行するまでに待機する時間間隔を分、時間、日、または週単位 で設定します。 e. [CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)] チェックボックスをオフにした場合、選択した CA によって署名された証明書を使用 するすべてのクライアント要求は ISE が CRL ファイルを受信するまで拒否されます。このチェッ クボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。 f. [ まだ有効になっていないか、または有効期限が切れている CRL を無視する(Ignore CRL that is not yet valid or expired)] チェックボックスをオフにした場合、ISE は CRL ファイルについて [ 有 効日(Effective Date)] フィールドの開始日および [ 次の更新(Next Update)] フィールドの有効 期限をチェックします。CRL がまだアクティブではないか、または期限切れの場合、その CA に よって署名された証明書を使用するすべての認証は拒否されます。このチェックボックスをオンに した場合、ISE は開始日および有効期限を無視し、まだアクティブでない、または有効期限が切れ た CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否します。 ステップ 9 [ 保存(Save)] をクリックして、認証局証明書に対する変更を保存します。 これらのコマンドの詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-22 OL-26134-01-J 第 13 章 証明書の管理 認証局証明書 認証局証明書の削除 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 認証局証明書を削除するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 認証局証明書(Certificate Authority Certificates)] をクリックします。 [ 認証局証明書(Certificate Authority Certificates)] ページが表示されます。 ステップ 3 削除する証明書の隣にあるチェックボックスをオンにし、[ 削除(Delete)] をクリックします。 次のメッセージが表示されます。 削除してもよろしいですか ?(Are you sure you want to delete? ) ステップ 4 [OK] をクリックして認証局証明書を削除します。 クライアント証明書ベースの認証が有効のときは、Cisco ISE によって、展開内の各ノード上のアプリ ケーション サーバが再起動されます。このときに、プライマリ管理ノード上のアプリケーション サー バが最初に起動され、その後で他のノードのアプリケーション サーバが 1 つずつ順に起動されます。 認証局証明書のエクスポート 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 認証局証明書をエクスポートするには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[ 認証局証明書(Certificate Authority Certificates)] をクリックします。 [ 認証局証明書(Certificate Authority Certificates)] ページが表示されます。 ステップ 3 エクスポートする証明書の隣にあるチェックボックスをオンにし、[ エクスポート(Export)] をク リックします。 (注) 一度に 1 つの証明書のみをエクスポートできます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-23 第 13 章 証明書の管理 認証局証明書 ステップ 4 クライアント ブラウザを実行しているファイル システムに Privacy Enhanced Mail ファイルを保存し ます。 証明書チェーンのインポート 証明書チェーンを含むファイルから証明書をインポートできます。ISE では、チェーンのインポートに Privacy Enhanced Mail 形式がサポートされており、各 Privacy Enhanced Mail エンコード証明書は、 最初のルート CA 証明書から最後の証明書(エンド エンティティ)まで正しい順序で表示されます。 たとえば、n 個の証明書がある場合、証明書 1 ~ n - 1 は信頼リストに属するルートまたは CA 証明書 であると見なされ、n 番目の証明書はローカル証明書ストアからのエンド エンティティ証明書であると 見なされます。関連付けられている秘密キー ファイルは、n 番目の(エンド エンティティ)証明書に 属します。この形式と規則に厳密に従っていることを確認します。 証明書チェーンのインポートは、次の 2 つのステップのプロセスです。 • 証明書チェーン ファイルを認証局証明書リストにインポートします。証明書チェーンをインポー トする方法については、「認証局証明書の追加」(P.13-19)を参照してください。Cisco ISE は最後 の証明書以外のすべての証明書を信頼できる証明書リストに配置します。 • 証明書チェーン ファイルをローカル証明書ストアにインポートします。証明書チェーンをイン ポートする方法については、「サーバ証明書のインポート」(P.13-4)を参照してください。Cisco ISE は最後の証明書(n 番目の証明書)をローカル証明書ストアに配置します。 プライマリ ISE ノードでの証明書信頼リストの作成 分散展開では、セカンダリ ノードを登録する前に、セカンダリ ノードの HTTPS 証明書を検証するた めに使用できる適切な CA 証明書をプライマリ ノードの CTL に入力する必要があります。プライマリ ノードの CTL に入力する手順は、シナリオに応じて異なります。 • セカンダリ ノードで HTTPS 通信に CA 署名付き証明書が使用されている場合は、適切な CA 証明 書をプライマリ ノードの CTL にインポートできます。詳細については、「ルートおよび CA 証明 書のプライマリ ノードの CTL へのインポート」(P.13-25)を参照してください。 • セカンダリ ノードで HTTPS 通信に CA 署名付き証明書が使用されている場合は、信頼に CA 証明 書を利用する代わりに、セカンダリ ノードの CA 署名付き証明書をプライマリ ノードの CTL にイ ンポートすることもできます。詳細については、「CA 署名付き証明書のセカンダリ ノードからプ ライマリ ノードの CTL へのインポート」(P.13-25)を参照してください。 • セカンダリ ノードで HTTPS 通信に自己署名証明書が使用されている場合は、セカンダリ ノード の自己署名証明書をプライマリ ノードの CTL にインポートできます。詳細については、「自己署 名証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート」(P.13-26)を参照し てください。 (注) セカンダリ ノードをプライマリ ノードに登録した後で、登録されたセカンダリ ノードで HTTPS 証明 書を変更した場合は、セカンダリ ノードの HTTPS 証明書を検証するために使用できる適切な CA 証明 書を取得する必要があります。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-24 OL-26134-01-J 第 13 章 証明書の管理 認証局証明書 ルートおよび CA 証明書のプライマリ ノードの CTL へのインポート 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 ルートおよび CA 証明書をプライマリ ノードの CTL にインポートするには、次の手順を実行します。 ステップ 1 セカンダリ ノードのサーバ証明書に署名した認証局から適切な CA 証明書を取得し、プライマリ ノー ドの CTL にインポートする必要があります。ルート証明書およびすべての中間 CA 証明書を取得する 必要はありません。セカンダリ ノードのサーバ証明書に直接署名した CA の CA 証明書を取得する必 要があります。任意で、追加の上位レベルの署名者の CA 証明書をインポートできます。たとえば、3 層階層で、セカンダリ ノードのサーバ証明書が CA によって署名され、その後でルート CA によって 署名される場合、ルート CA ではなく、セカンダリ ノードのサーバ証明書に署名した CA の CA 証明 書をインポートする必要があります。証明書検証ソフトウェアは、セカンダリ ノードのサーバ証明書 から、CA ストアで最上位の署名証明書へのパスを構築できる必要があります。 ステップ 2 プライマリ ノードの管理ユーザ インターフェイスにログインし、適切な CA 証明書をプライマリ ノー ドの CTL にインポートします。詳細については、「認証局証明書の追加」(P.13-19)を参照してくださ い。必要に応じて、このプロセスを繰り返して追加の CA 証明書を追加します。 CA 署名付き証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 CA 署名付き証明書をセカンダリ ノードからプライマリ ノードの CTL にインポートするには、次の 手順を実行します。 ステップ 1 セカンダリ ノードとして登録するノードの管理ユーザ インターフェイスにログインし、HTTPS 通信に 使用される CA 署名付き証明書を、クライアント ブラウザを実行しているファイル システムにエクス ポートします。詳細については、「認証局証明書のエクスポート」(P.13-23)を参照してください。 (注) ステップ 2 [ エクスポート(Export)] ダイアログボックスの [ 証明書のみをエクスポート(Export Certificate Only)] オプション ボタンをクリックします。 プライマリ ノードの管理ユーザ インターフェイスにログインし、セカンダリ ノードの CA 署名付き証 明書をプライマリ ノードの CTL にインポートします。詳細については、「認証局証明書の追加」 (P.13-19)を参照してください。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-25 第 13 章 証明書の管理 Simple Certificate Enrollment Protocol プロファイル 自己署名証明書のセカンダリ ノードからプライマリ ノードの CTL へのインポート 前提条件: 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明 されている操作を実行するには、スーパー管理者またはシステム管理者のロールが割り当てられている 必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」を参照してください。 自己署名証明書をセカンダリ ノードからプライマリ ノードの CTL にインポートするには、次の手順 を実行します。 ステップ 1 セカンダリ ノードとして登録するノードの管理ユーザ インターフェイスにログインし、HTTPS 通信に 使用される自己署名証明書を、クライアント ブラウザを実行しているファイル システムにエクスポー トします。詳細については、「ローカル証明書のエクスポート」(P.13-14)を参照してください。 (注) ステップ 2 [ エクスポート(Export)] ダイアログボックスの [ 証明書のみをエクスポート(Export Certificate Only)] オプション ボタンをクリックします。 プライマリ ノードの管理ユーザ インターフェイスにログインし、セカンダリ ノードの自己署名証明書 をプライマリ ノードの CTL にインポートします。詳細については、「認証局証明書の追加」(P.13-19) を参照してください。 Simple Certificate Enrollment Protocol プロファイル • 「Simple Certificate Enrollment Protocol プロファイルの追加および変更」(P.13-26) • 「Simple Certificate Enrollment Protocol プロファイルの削除」(P.13-28) Simple Certificate Enrollment Protocol プロファイルの追加および変更 ユーザがネットワークで登録できるさまざまなモバイル デバイスの証明書のプロビジョニング機能を 有効にするために、Cisco ISE では 1 つ以上の Simple Certificate Enrollment Protocol(SCEP)認証局 (CA)プロファイルを設定し、Cisco ISE で複数の CA の場所を指定できます。複数のプロファイルを 使用できる利点は、ハイ アベイラビリティを実現し、指定した CA の場所の間でロード バランシング を実行できることです。特定の SCEP CA への要求に 3 回連続して応答がなかった場合、Cisco ISE は 特定のサーバが使用不能であると宣言し、次に負荷が小さく応答時間が短い既知の CA に自動的に移動 し、サーバがオンラインに復帰するまで、定期的なポーリングを開始します。 新しい SCEP CA プロファイルを追加するには、次の手順を実行します。 ステップ 1 ステップ 2 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[SCEP CA プロファイル (SCEP CA Profile)] をクリックします。 図 13-12 に示すように、SCEP CA の [ プロファイルの追加(Add Profile)] ページが表示されます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-26 OL-26134-01-J 第 13 章 証明書の管理 Simple Certificate Enrollment Protocol プロファイル 図 13-12 新しい SCEP CA プロファイルの追加 ステップ 3 他の SCEP CS プロファイル名と区別するために、プロファイルの名前を指定します。 ステップ 4 任意でプロファイルの説明を入力します。 ステップ 5 ユーザがモバイル デバイスからネットワークにアクセスしたときに Cisco ISE が SCEP CA 要求を転送 できる当該の SCEP CA サーバの URL を指定します。 [ 送信(Submit)] ボタンをクリックしてセッションを終了する前に、任意で隣接する [ 接続のテスト (Test Connectivity)] ボタンを使用して、指定した URL のサーバに Cisco ISE が到達できることを確 認できます。(いずれにしても、Cisco ISE ではプロファイルを保存する前に URL がテストされます)。 ステップ 6 [ 送信(Submit)] をクリックします。 参照用: ユーザのデバイスが検証済みの証明書を受信すると、表 13-1 に示すように、証明書はデバイスに置か れます。 表 13-1 デバイス証明書の場所 デバイス 証明書ストレージの場所 アクセス方法 iPhone/iPad 標準の証明書ストア [ 設定(Settings)] > [ 一般(General)] > [ プロファイル(Profile)] Android 暗号化された証明書ストア エンド ユーザに不可視です。 (注) 証明書は、[ 設定(Settings)] > [ ロ ケーションおよびセキュリティ (Location & Security)] > [ ストレー ジのクリア(Clear Storage)] を使用 して削除できます。 Windows 標準の証明書ストア /cmd プロンプトから mmc.exe を起動する か、または証明書スナップインで表示しま す。 Mac 標準の証明書ストア [ アプリケーション(Application)] > [ ユー ティリティ(Utilities)] > [ キーチェーン ア クセス(Keychain Access)] Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-27 第 13 章 証明書の管理 OCSP サービス Simple Certificate Enrollment Protocol プロファイルの削除 既存の SCEP CA プロファイルを削除するには、次の手順を実行します。 ステップ 1 ステップ 2 ステップ 3 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[SCEP CA プロファイル (SCEP CA Profile)] をクリックします。 削除するプロファイルのチェックボックスをオンにし、[ 削除(Delete)] をクリックします。 OCSP サービス Online Certificate Status Protocol (OCSP)は、x.509 デジタル証明書のステータスのチェックに使用 されるプロトコルです。このプロトコルは CRL(証明書失効リスト)に代わるものであり、CRL の処 理をもたらす問題に対処します。 Cisco ISE には HTTP を介して OCSP サーバと通信し、認証で証明書のステータスを検証する機能があ ります。OCSP のコンフィギュレーションは、Cisco ISE で設定されるいずれかの認証局(CA)証明 書から参照できる再利用可能な設定オブジェクトで設定されます。「認証局証明書の編集」(P.13-20) を参照してください。 CRL 検証と OCSP 検証の両方または一方を CA ごとに設定できます。両方を選択すると、Cisco ISE で は最初に OCSP を介した検証が実行されます。プライマリ OCSP サーバとセカンダリ OCSP サーバの 両方で通信の問題が検出された場合、または特定の証明書に対して不明のステータスが返された場合、 Cisco ISE は CRL チェックの実行にフェールオーバーします。 この項では、次のトピックを扱います。 • 「OCSP 証明書のステータスの値」(P.13-28) • 「OCSP のハイ アベイラビリティ」(P.13-29) • 「OCSP サービスの表示」(P.13-30) • 「OCSP サービスの追加、編集、または複製」(P.13-30) • 「OCSP サービスの削除」(P.13-33) • 「OCSP 統計情報カウンタ」(P.13-33) • 「OCSP のモニタリング」(P.13-34) OCSP 証明書のステータスの値 OCSP サービスでは、所定の証明書要求に対して次の値が返されます。 • [ 良好(Good)]:ステータスの問い合わせへの肯定的な応答を示します。証明書が失効していな いこと、および状態が次の時間間隔(存続可能時間)値までは良好であることを示します。 • [ 失効(Revoked)]:証明書は失効しています。 • [ 不明(Unknown)]:証明書のステータスは不明です。これは、OCSP が特定の証明書 CA を処理 するように設定されていない場合に発生することがあります。 • [ エラー(ERROR)]:OCSP 要求に対する応答を受信しませんでした。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-28 OL-26134-01-J 第 13 章 証明書の管理 OCSP サービス 関連項目 「OCSP 統計情報カウンタ」(P.13-33) OCSP のハイ アベイラビリティ Cisco ISE には、CA ごとに最大 2 台の OCSP サーバ(プライマリ OCSP サーバおよびセカンダリ OCSP サーバと呼ばれる)を設定する機能があります。各 OCSP サーバ設定には、次のパラメータが 含まれます。 • [URL]:OCSP サーバの URL。 • [ ナンス(Nonce)]:要求で送信される乱数。このオプションにより、リプレイ アタックで古い通 信を再利用できないことが保証されます。 • [ 応答の検証(Validate Response)]:Cisco ISE は OCSP サーバから受信した応答の署名を検証し ます。 Cisco ISE がプライマリ OCSP サーバと通信しているときに、タイムアウト(5 秒)が発生した場合、 Cisco ISE はセカンダリ OCSP サーバにフェールオーバーします。 Cisco ISE はプライマリ サーバの再使用を試行する前に、設定可能な期間セカンダリ OCSP サーバを使 用します。 OCSP 障害 3 つの一般的な OCSP 障害のシナリオは次のとおりです。 1. 失敗した OCSP キャッシュまたは OCSP クライアント側(Cisco ISE)の障害 2. 失敗した OCSP 応答側のシナリオ。例: a. 最初のプライマリ OCSP 応答側が応答せず、セカンダリ OCSP 応答側が Cisco ISE OCSP 要求 に応答します。 b. Cisco ISE OCSP 要求から応答が受信されないエラー。 OCSP 応答側は Cisco ISE OCSP 要求に応答を提供しないか、または「失敗」を示す OCSP 応答ステー タスを返す場合があります。OCSP 応答ステータスの値は次のとおりです。 • tryLater • signRequired • unauthorized • internalError • malformedRequest OCSP 要求に対する多数の日時チェック、署名の有効性チェックなどがあります。詳細については、エ ラー状態を含むすべての可能性のある状態について説明している『RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP』を参照してください。 3. 失敗した OCSP レポート Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-29 第 13 章 証明書の管理 OCSP サービス OCSP サービスの表示 OCSP サービスを表示するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[OCSP サービス(OCSP Services)] をクリックします。 図 13-13 に示すように、[OCSP サービス リスト(OCSP Service List)] ページが表示されます。 ステップ 3 [OCSP サービス リスト(OCSP Service List)] ページには、設定された OCSP サービスに関する次の 情報が表示されます。 • 名前(Name) • 説明(Description) 図 13-13 [OCSP サービス リスト(OCSP Service List)] ページ OCSP サービスの追加、編集、または複製 OCSP サービスを追加または編集するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[OCSP サービス(OCSP Services)] をクリックします。 [OCSP サービス リスト(OCSP Service List)] ページが表示されます。図 13-13 を参照してください。 ステップ 3 次のいずれかをクリックします。 • 追加(Add) • 編集(Edit) • 複製(Duplicate) Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-30 OL-26134-01-J 第 13 章 証明書の管理 OCSP サービス [ 新しい OCSP サービス(New OCSP Service)] ページが表示されます。図 13-14 を参照してくださ い。 図 13-14 ステップ 4 OCSP サービスの追加または編集ページ OCSP サービスの次の情報を入力します。 • 名前(Name) • 説明(Description) ステップ 5 ハイ アベイラビリティを有効にする場合は、[ セカンダリ サーバの有効化(Enable Secondary Server) ] チェックボックスをオンにします。 ステップ 6 ハイ アベイラビリティの次のいずれかのオプションを選択します。 • [ 常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)]:このオプ ションは、セカンダリ サーバへの移動を試行する前にプライマリ サーバをチェックする場合に使 用します。プライマリが以前にチェックされ、応答しないことがわかっている場合にも、Cisco ISE はセカンダリ サーバに移動する前にプライマリ サーバへの要求の送信を試行します。 • [ 時間を置いてプライマリ サーバにフォールバックする(Fallback to Primary Server After Interval)]:このオプションは、Cisco ISE がセカンダリ サーバに移動してから、再度プライマリ サーバにフォールバックする場合に使用します。この場合、その他の要求はすべてスキップされ、 テキスト ボックスで設定した時間セカンダリ サーバが使用されます。設定できる時間の範囲は 1 ~ 999 分です。 ステップ 7 プライマリおよびセカンダリの OCSP サーバの URL または IP アドレスを指定します。 ステップ 8 次のオプションをオンまたはオフにします。 • [ ナンス(Nonce)]:ナンスが OCSP 要求の一部として送信されるように設定できます。これには OCSP 要求の疑似乱数が含まれます。応答で受信される数値は要求に含まれる数値と同じであるこ とが検証されています。このオプションにより、リプレイ アタックで古い通信を再利用できない ことが保証されます。 • [ 応答の署名の検証(Validate Response Signature)]:OCSP 応答側は次のいずれかの署名を使用 して応答に署名します。 – CA 証明書 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-31 第 13 章 証明書の管理 OCSP サービス – CA 証明書とは異なる証明書 Cisco ISE が応答の署名を検証するためには、OCSP 応答側が応答を証明書とともに送信する必要 があります。そうでない場合、応答の検証は失敗し、証明書のステータスは利用できません。RFC に従い、OCSP は異なる証明書を使用して応答に署名できます。このことは、OCSP が Cisco ISE による検証用に応答に署名した証明書を送信する限り当てはまります。OCSP が Cisco ISE で設定 されていない異なる証明書を使用して応答に署名した場合、応答の検証は失敗します。 ステップ 9 キャッシュ エントリの存続可能時間を分単位で入力します。 OCSP サーバからの各応答には「nextUpdate」値が含まれています。この値は、証明書のステータス がサーバで次にいつ更新されるかを示します。OCSP 応答がキャッシュされるとき、2 つの値(1 つは 設定から、もう 1 つは応答から)が比較され、この 2 つの最小値の時間だけ応答がキャッシュされま す。「nextUpdate」値が 0 の場合、応答はまったくキャッシュされません。 Cisco ISE は設定された時間 OCSP 応答をキャッシュします。キャッシュは複製されず、永続的でもな いため、Cisco ISE が再起動するとキャッシュはクリアされます。 次の理由により、OCSP キャッシュは OCSP 応答を保持するために使用されます。 • 既知の証明書に関する OCSP サーバからのネットワーク トラフィックと負荷を低減するため • 既知の証明書のステータスをキャッシュすることによって Cisco ISE のパフォーマンスを向上させ るため ステップ 10 OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[ キャッシュのクリア (Clear Cache)] をクリックします。 展開内で、キャッシュのクリアはすべてのノードと相互作用し、処理を実行します。このメカニズムで は、展開内のすべてのノードが更新されます。図 13-15 に、[ キャッシュのクリア ステータス メッ セージ(Clear Cache Status Message)] ダイアログボックスを示します。 図 13-15 キャッシュのクリア ステータス メッセージ Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-32 OL-26134-01-J 第 13 章 証明書の管理 OCSP サービス OCSP サービスの削除 OCSP サービスを削除するには、次の手順を実行します。 ステップ 1 [ 管理(Administration)] > [ システム(System)] > [ 証明書(Certificates)] を選択します。 ステップ 2 左側の [ 証明書操作(Certificate Operations)] ナビゲーション ペインで、[OCSP サービス(OCSP Services)] をクリックします。 [OCSP サービス リスト(OCSP Service List)] ページが表示されます。 ステップ 3 削除する OCSP サービスの隣にあるチェックボックスをオンにし、[ 削除(Delete)] をクリックしま す。 [ 削除してもよろしいですか ?(Are you sure you want to delete?)] というメッセージが表示されます。 ステップ 4 [OK] をクリックして、OCSP サービスを削除します。 OCSP 統計情報カウンタ OCSP カウンタは、OCSP サーバのデータと健全性のロギングおよびモニタリングに使用されます。ロ ギングは 5 分ごとに実行されます。syslog メッセージが Cisco ISE モニタリング ノードに送信され、 前の 5 分間のデータを含むローカル ストアに保存されます。メッセージが送信された後、カウンタは 次の間隔について再計算されます。つまり、5 分後に、新しい 5 分間の間隔が再度開始します。 表 13-2 に OCSP syslog メッセージとその説明を示します。 表 13-2 OCSP Syslog メッセージ 属性名 属性の説明 OCSPPrimaryNotResponsiveCount 応答のないプライマリ要求の数 OCSPSecondaryNotResponsiveCount 応答のないセカンダリ要求の数 OCSPPrimaryCertsGoodCount プライマリ OCSP サーバを使用して返された所定の CA の「有効な」証明書の数 OCSPSecondaryCertsGoodCount プライマリ OCSP サーバを使用して返された所定の CA の「有効な」ステータスの数 OCSPPrimaryCertsRevokedCount プライマリ OCSP サーバを使用して返された所定の CA の「失効した」ステータスの数 OCSPSecondaryCertsRevokedCount セカンダリ OCSP サーバを使用して返された所定の CA の「失効した」ステータスの数 OCSPPrimaryCertsUnknownCount プライマリ OCSP サーバを使用して返された所定の CA の「不明の」ステータスの数 OCSPSecondaryCertsUnknownCount セカンダリ OCSP サーバを使用して返された所定の CA の「不明の」ステータスの数 OCSPPrimaryCertsFoundCount プライマリの送信元からのキャッシュ内に見つかった 証明書の数 OCSPSecondaryCertsFoundCount セカンダリの送信元からのキャッシュ内に見つかった 証明書の数 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 OL-26134-01-J 13-33 第 13 章 証明書の管理 OCSP サービス 表 13-2 OCSP Syslog メッセージ (続き) 属性名 属性の説明 ClearCacheInvokedCount 一定間隔の後にキャッシュのクリアがトリガーされた 回数 OCSPCertsCleanedUpCount t 間隔の後にクリーンアップされたキャッシュ エント リの数 NumOfCertsFoundInCache キャッシュから実行された要求の数 OCSPCacheCertsCount OCSP キャッシュ内に見つかった証明書の数 OCSP のモニタリング OCSP サービス データを OCSP モニタリング レポートの形式で表示できます。OCSP サービス データ は ocsp_notice データベース テーブルに格納されます。 この項では、このレポートの実行プロセスについて説明します。Cisco ISE レポートの詳細について は、第 25 章「レポート」を参照してください。 OCSP モニタリング レポート OCSP サービス データを表示するには、次の手順を実行します。 ステップ 1 Cisco ISE 管理ダッシュボードで、[ 操作(Operations)] > [ レポート(Reports)] > [ カタログ (Catalog)] を選択します。 ステップ 2 [ レポート(Reports)] リストで、[ サーバ インスタンス(Server Instance)] を選択します。 ステップ 3 右側の [ レポート(Reports)] パネルで、[OCSP モニタリング(OCSP Monitoring)] オプション ボタ ンをクリックします。 ステップ 4 [ 実行(Run)] ドロップダウン メニューで、レポート データを収集する期間を選択します。 • 直近の 30 分(Last 30 minutes) • 直近の 1 時間(Last hour) • 直近の 12 時間(Last 12 hours) • 今日(Today) • 昨日(Yesterday) • 直近 7 日間(Last 7 days) • 直近 30 日間(Last 30 days) • [ クエリーおよび実行(Query and Run)]:直近 30 日間以上のデータを収集する場合に使用しま す。 期間を選択するとレポートが実行され、[ サーバ インスタンス(Server Instance)] > [OCSP モニタリ ング レポート(OCSP Monitoring report )] データが表示されます。 Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1 13-34 OL-26134-01-J